Kerentanan Log4J, juga dikenal sebagai "Log4Shell," adalah kerentanan kritis yang ditemukan di pustaka pencatatan Apache Log4J pada November 2021. Log4Shell pada dasarnya memberikan peretas kendali penuh atas perangkat yang menjalankan versi Log4J yang belum ditambal. Pelaku kejahatan dapat menggunakan kelemahan ini untuk menjalankan hampir semua kode yang mereka inginkan pada sistem yang rentan.
Para peneliti menganggap Log4Shell sebagai kerentanan keamanan yang "dahsyat" karena penyebarannya yang sangat luas - Log4J adalah salah satu program sumber terbuka yang paling banyak digunakan di dunia - dan sangat mudah untuk dieksploitasi. Jen Easterly, direktur Badan Keamanan Siber dan Infrastruktur AS (CISA), menyebutnya sebagai "salah satu yang paling serius yang pernah saya lihat sepanjang karier saya, jika bukan yang paling serius."
Log4Shell memicu lonjakan serangan siber pada Desember 2021. Indeks Intelijen Ancaman X-ForceIBM mencatat peningkatan 34% dalam eksploitasi kerentanan antara tahun 2020 dan 2021, terutama disebabkan oleh Log4Shell.
Log4Shell ditambal tak lama setelah penemuan tetapi akan menimbulkan risiko selama bertahun-tahun, karena Log4J sangat tertanam dalam rantai pasokan perangkat lunak. Departemen Keamanan Dalam Negeri AS (PDF; tautan berada di luar ibm.com) memperkirakan bahwa akan membutuhkan waktu setidaknya satu dekade untuk menemukan dan memperbaiki setiap contoh yang rentan.
Log4j adalah kerangka kerja logging yang dikembangkan oleh Apache Software Foundation. Seperti namanya, Log4J adalah seorang logger. Program ini merekam informasi penting seperti pesan kesalahan dan input pengguna dalam suatu program.
Log4J adalah pustaka perangkat lunak sumber terbuka, sebuah paket kode yang sudah ditulis sebelumnya yang dapat digunakan secara bebas oleh pengembang. Alih-alih menulis logger mereka sendiri, para pengembang dapat menyambungkan pustaka Log4J ke dalam aplikasi mereka. Kenyamanan ini adalah alasan mengapa Log4J sangat luas, dibangun ke dalam produk dari organisasi besar seperti Microsoft dan Amazon, untuk menyebutkan beberapa di antaranya.
Log4Shell-Pengenal Common Vulnerability and Exposure (CVE), CVE-2021-44228, adalah kerentanan eksekusi kode jarak jauh (remote code execution/RCE) yang ada di beberapa versi Log4J. Cacat mempengaruhi Apache Log4J 2, versi 2.14.1 dan sebelumnya. Log4J 2.15 dan yang lebih baru, dan semua versi Apache Log4J 1, tidak terpengaruh.
Log4Shell muncul dari bagaimana versi lama Log4J 2 menangani pencarian Java Naming and Directory Interface (JNDI). JNDI adalah antarmuka pemrograman aplikasi (API) yang digunakan aplikasi Java untuk mengakses sumber daya yang dihosting di server eksternal. Pencarian JNDI adalah perintah yang memerintahkan aplikasi untuk pergi ke server dan mengunduh objek tertentu, seperti sepotong data atau skrip. Versi lama Log4J 2 secara otomatis menjalankan kode apa pun yang diunduh dengan cara ini.
Pengguna dapat mengirimkan pencarian JNDI ke versi Log4J yang rentan dengan menyertakannya dalam pesan log. Melakukannya sederhana. Misalnya, dalam versi Minecraft Java Edition yang lebih lama, yang menggunakan Log4J untuk merekam pesan pengguna, pengguna dapat mengetikkan pencarian JNDI ke jendela obrolan publik.
Peretas dapat menggunakan fungsionalitas JNDI ini untuk mengeksekusi kode berbahaya dan sewenang-wenang dari jarak jauh. Pertama, peretas menyiapkan server menggunakan protokol umum, seperti Lightweight Directory Access Protocol (LDAP) untuk menghindari perhatian. Selanjutnya, mereka menyimpan muatan berbahaya di server itu, seperti file malware. Terakhir, mereka mengirimkan pencarian JNDI ke sebuah program, memerintahkannya untuk pergi ke server LDAP penyerang, mengunduh muatan, dan mengeksekusi kode.
Peneliti keamanan di raksasa teknologi Alibaba menemukan Log4Shell pada 24 November 2021. Dengan segera menerima skor Sistem Penilaian Kerentanan Umum (CVSS) tertinggi: 10 dari 10. Beberapa faktor berkontribusi terhadap penilaian ini.
Pada tanggal 9 Desember 2021, kode bukti konsep tentang cara mengeksploitasi Log4Shell diposting di GitHub, dan para peretas meningkatkan serangan. Perusahaan dan layanan besar seperti Minecraft, Twitter, dan Cisco terkena dampaknya. Pada puncak aktivitas Log4Shell, Check Point mengamati lebih dari 100 serangan setiap menit, memengaruhi lebih dari 40% dari semua jaringan bisnis secara global (tautan berada di luar ibm.com).
Serangan paling awal menyebarkan malware botnet dan cryptomining. Beberapa peretas menggunakan kelemahan ini untuk melancarkan serangan tanpa berkas, mengirimkan skrip berbahaya ke komputer Windows dan Linux untuk membuat mereka membocorkan kata sandi dan informasi sensitif lainnya.
Beberapa geng ransomware menyita Log4Shell. Khususnya, para peretas menyebarkan jenis ransomware Khonsari melalui Minecraft. Ransomware Night Sky menargetkan sistem yang menjalankan VMware Horizon.
Bahkan aktor-aktor negara pun turut serta. Peretas yang terkait dengan China, Iran, Korea Utara, dan Turkiye terlihat mengeksploitasi kerentanan tersebut.
Apache meluncurkan patch pertama (Log4J versi 2.15.0) pada 10 Desember 2021. Namun, patch tersebut meninggalkan kerentanan lain yang terbuka-CVE-2021-45046-yang memungkinkan peretas mengirim perintah berbahaya ke log dengan pengaturan nondefault tertentu.
Apache merilis tambalan kedua (Log4J versi 2.16.0) pada 14 Desember 2021. Program ini juga memiliki kelemahan-CVE-2021-45105-yang memungkinkan peretas meluncurkan serangan penolakan layanan (DoS).
Patch ketiga, Log4J versi 2.17, memperbaiki kelemahan DoS tetapi meninggalkan satu kerentanan terakhir - CVE-2021-44832 - yang memungkinkan peretas untuk mengambil alih kendali komponen Log4J yang disebut "appender" untuk menjalankan kode jarak jauh. Apache mengatasi ini dengan patch keempat dan terakhir, Log4J versi 2.17.1.
Meskipun Log4J 2.17.1 menutup Log4Shell dan semua kerentanan terkait di sisi Apache, ancaman siber masih menggunakan kelemahan tersebut. Hingga Mei 2023, Log4Shell masih menjadi salah satu kerentanan yang paling sering dieksploitasi (tautan berada di luar ibm.com).
Log4Shell bertahan karena beberapa alasan.
Yang pertama adalah bahwa Log4J sudah tidak terpakai di dalam rantai pasokan perangkat lunak banyak perusahaan. Saat ini, banyak aplikasi dibangun dengan merakit pustaka perangkat lunak sumber terbuka yang sudah ada sebelumnya. Proses ini memang nyaman, namun juga berarti bahwa organisasi memiliki visibilitas terbatas ke semua komponen yang membentuk aplikasi mereka. Sangat mudah untuk melewatkan Log4J versi lama.
Ketika versi Log4J yang rentan ditambal, itu tidak selalu tetap ditambal. Pada bulan November 2022, Tenable melaporkan (tautan berada di luar ibm.com) bahwa 29% aset yang masih rentan terhadap Log4Shell adalah "pengulangan". Mereka ditambal di masa lalu, tetapi cacat itu muncul kembali. Skenario ini terjadi karena ketika orang membuat atau memperbarui aplikasi, mereka terkadang secara tidak sengaja menggunakan pustaka perangkat lunak yang masih berisi versi Log4J yang belum ditambal.
Akhirnya, para peretas mengembangkan cara yang cerdas untuk menutupi jejak mereka. Menurut CISA (tautan berada di luar ibm.com), beberapa peretas menggunakan Log4Shell untuk membobol sebuah jaringan, dan kemudian mereka menambal aset. Perusahaan mengira sudah aman, tetapi para peretas sudah 'masuk'.
Versi terbaru Log4J bebas dari Log4Shell. Pakar keamanan siber merekomendasikan agar tim keamanan fokus untuk memastikan semua contoh Log4J dalam sistem mereka adalah yang terbaru.
Memperbarui Log4J bisa menjadi proses yang lambat, karena perusahaan sering perlu menggali lebih dalam aset mereka untuk menemukannya. Sementara itu, tim keamanan dapat menggunakan pemindaian kerentanan berkelanjutan dan alat deteksi ancaman seperti platform manajemen permukaan serangan (ASM) dan deteksi dan respons titik akhir (EDR) untuk memantau aset yang terhubung ke internet. Para pakar merekomendasikan agar tim respons insiden menyelidiki secara menyeluruh setiap petunjuk aktivitas Log4Shell.
Setelah Log4Shell menjadi publik, banyak firewall, sistem deteksi intrusi (IDS ), dan sistem pencegahan intrusi (IPS ) menambahkan aturan untuk menemukan eksploitasi Log4Shell. Alat-alat ini dapat membantu tim keamanan mendeteksi dan memblokir lalu lintas dari server yang dikendalikan penyerang.
18 Juli 2013: Apache merilis Log4J 2.0-beta9, versi pertama yang mendukung plug-in JNDI. Meskipun kerentanan tidak akan ditemukan sampai bertahun-tahun kemudian, Log4Shell hadir sejak saat ini.
24 November 2021: Peneliti keamanan dari Alibaba menemukan Log4Shell dan melaporkannya ke Apache. Apache mulai mengerjakan sebuah patch tetapi tidak merilis peringatan keamanan publik.
9 Desember 2021: Peneliti keamanan dari Alibaba menemukan bukti bahwa Log4Shell sedang didiskusikan di alam liar, dan kode eksploitasi bukti konsep diposting ke GitHub.
10 Desember 2021: Apache mengeluarkan tambalan pertama, dan pengembang Minecraft menemukan Log4Shell di Minecraft Java Edition. Komunitas keamanan siber dengan cepat menyadari parahnya situasi ini, dan organisasi mulai berebut mengunci sistem mereka.
11 Desember 2021: Cloudflare menemukan bukti bahwa pelaku ancaman mulai mengeksploitasi Log4Shell lebih awal dari yang diperkirakan sebelumnya - sejak 1 Desember.
14 Desember 2021: CVE-2021-45046 ditemukan, dan Apache merilis tambalan untuk mengatasinya.
17 Desember 2021: CVE-2021-45105 ditemukan, dan Apache merilis tambalan untuk mengatasinya.
28 Desember 2021: CVE-2021-44832 ditemukan, dan Apache merilis patch terakhir. Dari Log4J versi 2.17.1 dan seterusnya, Log4Shell sepenuhnya diperbaiki.
4 Januari 2022: Komisi Perdagangan Federal AS (FTC ) (tautan berada di luar ibm.com) mengumumkan bahwa mereka berniat untuk mengejar perusahaan mana pun yang mengekspos data konsumen kepada peretas karena mereka gagal mengatasi Log4Shell.
Mei 2023: Check Point menemukan bahwa Log4Shell masih merupakan kerentanan kedua yang paling sering dieksploitasi.
Mengelabui serangan dengan rangkaian keamanan yang terhubung dan modern Portofolio QRadar disematkan dengan AI tingkat perusahaan dan menawarkan produk terintegrasi untuk keamanan titik akhir, manajemen log, SIEM, dan SOAR-semuanya dengan antarmuka pengguna yang sama, wawasan bersama, dan alur kerja yang terhubung.
Diimplementasikan di lokasi atau di cloud hybrid, solusi keamanan data IBM membantu Anda mendapatkan visibilitas dan wawasan yang lebih besar untuk menyelidiki dan memulihkan ancaman siber, menegakkan kontrol waktu nyata, dan mengelola kepatuhan terhadap peraturan.
Perburuan ancaman secara proaktif, pemantauan berkelanjutan, dan investigasi mendalam terhadap ancaman hanyalah beberapa prioritas yang dihadapi departemen TI yang sudah sangat sibuk. Memiliki tim tanggap insiden tepercaya yang siap siaga dapat mengurangi waktu tanggap Anda, meminimalkan dampak serangan siber, dan membantu Anda pulih lebih cepat.
Pelajari semua yang perlu Anda ketahui tentang eksploitasi zero-day dan peran penting yang mereka mainkan dalam keamanan. Disiapkan oleh Randori, sebuah perusahaan IBM.
Serangan siber adalah upaya untuk mencuri, mengekspos, mengubah, melumpuhkan, atau menghancurkan aset orang lain melalui akses tidak sah ke sistem komputer.
Manajemen kerentanan adalah penemuan dan penyelesaian kelemahan keamanan secara terus menerus pada infrastruktur dan perangkat lunak TI organisasi.